Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.
Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Microsoft dans le cadre du Patch Tuesday [1], par Google pour son navigateur Chrome [2], par SAP [3], par GLPI [4] ainsi que pour Grafana [5a] [5b] [5c].
Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.
Codes d’exploitation
Cette semaine, aucun bulletin portant sur des codes d’exploitation n’a été publié par le CERT-XMCO.
Informations
Malware
Le botnet Emotet reprend du service, sans pour autant déployer de charges malveillantes secondaires [6a] [6b]
Des chercheurs ont observé une reprise soutenue des activités du botnet Emotet depuis début novembre. Alors que le 13 juillet, le botnet a subitement ralenti sa propagation, le nombre de compromissions est reparti à la hausse. Comme lors de précédentes campagnes d’attaque, le malware à l’origine du botnet est diffusé via l’envoi massif d’email de phishing contenant une pièce jointe malveillante. Dans la campagne en cours, c’est un fichier Excel qui est transmis et présenté comme une facture, un document scanné ou encore un formulaire en ligne.
Publication
Group-IB publie un rapport sur le mode opératoire du groupe francophone OPERA1ER [7a] [7b] [7c]
Group-IB, dans son rapport intitulé OPERA1ER, Playing God without permission, revient sur le mode opératoire du groupe francophone OPERA1ER, également connu sous le nom de DESKTOP-group et Common Raven. Le groupe aurait été détecté initialement en 2016 après avoir enregistré son plus ancien domaine, mais s’est fait connaître entre 2018 et 2022, période à laquelle il aurait effectué plus de 30 cyber attaques réussies sur des entreprises de services financiers et de télécommunication.
Threat Intelligence
La société de cybersécurité Deep Instinct dévoile ses tendances 2022 sur l’état de la menace cyber [8]
Le 31 octobre 2022, la société de cybersécurité Deep Instinct a publié le 31 octobre 2022 un rapport sur l’état de la menace cyber. Le rapport se base sur les observations de l’année 2022 et identifie plusieurs tendances.
Phishing
Des mails de phishings semblent être envoyés via l’infrastructure légitime de PayPal [9]
Aaron Mulgrew, chercheur de l’entreprise américaine Forcepoint, a déclaré avoir été victime d’une tentative de phishing émanant de l’infrastructure de PayPal. Après investigation, il a constaté que le mail était techniquement légitime. L’hypothèse la plus probable selon lui est l’utilisation par l’attaquant de l’API de génération des factures mise à disposition par PayPal.
AhnLab détecte une campagne de phishing ciblant les entreprises liées aux centrales nucléaires [10]
Les chercheurs de l’entreprise coréenne AhnLab ont détecté une campagne de phishing ciblant spécifiquement les entreprises liées aux centrales nucléaires. Selon AhnLab, la campagne émanerait du mode opératoire Kimsuky lié à la Corée du Nord.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXN-2022-5474
[2] CXA-2022-5438
[3] CXA-2022-5475
[4] CXA-2022-5382
[5] CXA-2022-5465
[6] CXN-2022-5399
[7] CXN-2022-5431
[8] CXN-2022-5426
[9] CXN-2022-5433
[10] CXN-2022-5410